Vulnerabilități recente ale BIND

Rezolvare problema (Fix IT)

Situatie

Organizația Internet Systems Consortium (ISC) a publicat recent unele actualizări de securitate menite să adreseze vulnerabilități multiple ale aplicației BIND.

BIND este o aplicație open-source care implementează suita de protocoale DNS (Domain Name System) în cadrul rețelei Internet, fiind și o implementare de referință a protocoalelor respective. Denumirea de BIND reprezintă un acronim pentru “Berkeley Internet Name Domain” deoarece își are originile în cadrul Universității din California de la Berkeley, astăzi fiind de departe cea mai utilizată aplicație asociată cu protocoalele DNS.

Codurile vulnerabilităților conform catalogării CVE (Common Vulnerabilities and Exposures) și versiunile de BIND afectate sunt:

  • CVE-2014-8500, pt.  9.0.x -> 9.8.x, 9.9.0 -> 9.9.6, 9.10.0 -> 9.10.1
  •  CVE-2014-8680, pt. 9.10.0 -> 9.10.1

Solutie

CVE-2014-8500: Prin utilizarea unor zone construite rău-intenționat sau a unui server malițios, un atacator poate exploata porțiunea de cod prin care BIND 9 urmărește delegările în DNS, făcând astfel ca BIND să emită interogări nelimitate în tentativa de a urmări delegările. Această situație poate duce la epuizarea resurselor sistemului și întreruperea serviciului (Denial of Service – DoS).

CVE-2014-8680: În cadrul BIND 9.10 au fost identificate erori multiple asociate cu facilitățile GeoIP adăugate în această versiune. Două dintre acestea au potențialul de a întrerupe serviciul – apariția oricăreia dintre ele putând cauza stoparea execuției procesului named cu returnarea unei afirmații de tip “assertion failure” (indică faptul că nu sunt îndeplinite unele condiții). Un al treilea defect este acela că este posibil ca bazele de date GeoIP să nu fie încărcate corespunzător dacă locația acestora este schimbată în timp ce rulează BIND.

CVE-2014-8500 afectează toate serverele DNS recursive, în timp ce serverele autoritare pot fi afectate dacă un atacator poate controla o delegare traversată de serverul autoritar ce deservește zona.

CVE-2014-8680 afectează doar serverele care rulează un BIND ce a fost compilat să utilizeze bazele de date GeoIP. Facilitățile GeoIP în BIND 9.10 sunt permise de opțiune în momentul compilării ce nu este selectată în mod implicit. Astfel, dacă nu ați compilat BIND, sau nu știți dacă a fost compilat cu opțiunea de a permite utilizarea GeoIP, puteți testa dacă această opțiune a fost utilizată la compilare prin utilizarea comenzii:

named –V –with-geoip

La executarea comenzii de mai sus, serverele afectate de CVE-2014-8680 vor returna eroarea “assertion failure”.

Măsuri de soluţionare

În cazul vulnerabilității CVE-2014-8500, singura opțiune de soluționare este instalarea actualizărilor/patch-urilor cele mai apropiate de versiunea BIND utilizată:

  • BIND 9 version 9.9.6-P1
  • BIND 9 version 9.10.1-P1

Pentru versiunile mai vechi de BIND nu mai există suport din partea ISC și se recomandă upgrade-ul la o versiune superioară pentru care există patch-uri.

Vulnerabilitatea CVE-2014-8680 este caracterizată de două erori ce au potențialul de a întrerupe execuția procesului named cu returnarea unei afirmații de tip “assertion failure”. Prima dintre erori se datorează unor fișiere binare ce au fost configurate să permită GeoIP însă este încărcată doar una dintre bazele de date IPv4 GeoIP și IPv6 GeoIP, astfel că una dintre ele nu va fi găsită. Această eroare poate fi evitată prin asigurarea faptului că ambele baze de date sunt încărcate.

Pentru evitarea celei de-a doua erori asociate cu CVE-2014-8680, se recomandă dezactivarea suportului pentru IPv6 prin rularea named cu opțiunea -4 sau prin configurarea cu “listen-on-v6 { none; };”.

Tip solutie

Permanent

Voteaza

(10 din 27 persoane apreciaza acest articol)

Despre Autor

Leave A Comment?